华为云用户手册

迁移到目标库后，生成的dsc_ora_ext这个Schema的作用是什么？ dsc_ora_ext是UGO为了让目标库实现Oracle源库中某些特定的功能而编写的自定义Schema。 若源库为MySQL，则自定义Schema名称为dsc_mys_ext。 例如：针对Oracle的某些系统函数，UGO自定义实现相同功能的目标库函数，并在迁移时将Oracle的系统函数调用转换成UGO自定义的函数调用。 父主题： 产品咨询

Oracle为源 不采集的 Schema 列表： 'APEX_050000'、'AUDSYS'、'ADAMS'、'ANONYMOUS'、 'AURORA$ORB$UNAUTHENTICATED'、 'AWR_STAGE'、 'APEX_030200'、'APEX_040200'、 'APEX_PUBLIC_USER'、'APPQOSSYS'、'BLAKE'、'CLARK'、' CS MIG'、 'CTXSYS'、'DBSNMP'、'DIP'、'DMSYS'、 'DSSYS'、'DEMO'、'DVSYS'、'DVF'、 'DBSFWUSER'、'EXFSYS'、'FLOWS_FILES'、 'GGSYS'、'GSMADMIN_INTERNAL'、'GSMCATUSER'、'GSMUSER'、 'JONES'、'LBACSYS'、'MDDATA'、'MDSYS'、'MGMT_VIEW'、 'OLAPSYS'、'ORACLE_OCM'、'ORDDATA'、'ORDPLUGINS'、 'ORDSYS'、'OUTLN'、'OWBSYS'、'OWBSYS_AUDIT'、'OJVMSYS'、 'PE RFS TAT'、'REMOTE_SCHEDULER_AGENT'、 'SI_INFORMTN_SCHEMA'、'SPATIAL_CSW_ADMIN_USR'、 'SPATIAL_WFS_ADMIN_USR'、'SYS'、'SYSMAN'、'SPATIAL_CSW_ADMIN_USR'、'SYSBACKUP'、 'SYSKM'、'SYSDG'、'SYSRAC'、'SYS$UMF'、'SYSTEM'、 'TRA CES VR'、'T SMS YS'、'WMSYS'、'XDB'、'XS$NULL'、'GSMROOTUSER'。

Microsoft SQL Server为源 'GUEST'、'INFORMATION_SCHEMA'、'SYS'、'DB_OWNER'、'DB_ACCESSADMIN'、'DB_SECURITYADMIN'、'DB_DDLADMIN'、'DB_BACKUPOPERATOR'、'DB_DATAREADER'、'DB_DATAWRITER'、'DB_DENYDATAREADER'、'DB_DENYDATAWRITER'。

迁移风险（10大SQL风险语句）和风险SQL摘要有什么关系？ 迁移风险和风险SQL摘要之间没有任何关系。 迁移风险（10大SQL风险语句）：指过去7天内占用源数据库CPU和内存较高，且执行时间较长的前10条SQL语句。 风险SQL摘要：从目标数据库的角度，概述迁移风险。对于目标数据库不直接支持的某些功能，应用程序需要特别关注该风险。 风险分为不同的类别，如功能风险，性能风险等。 功能风险：例如，目标数据库不直接支持的数据类型（如取值范围）。具体可以从data_type_mismatch，table_def_mismatch，sequence_limitation方面概述。 性能风险：影响库性能的风险。例如， GaussDB 不支持分区间隔，具体可以从分布和分区方面概述。 父主题： 评估项目

权限准备 创建评估项目，需要对源库进行预检查，Oracle为源库时预检查项如表1所示。 表1 预检查项 预检查权限 检查含义 是否必须通过 DBMS_METADATA权限 检查用户是否具有从Oracle数据库字典中检索元数据的权限，该权限用来获取Schema对象的DDL。 赋予DBA权限即可，赋权语句如下： 创建用户。 CREATE USER user IDENTIFIED BY password; 授予用户登录权限。 GRANT CONNECT TO user; 授予用户DBA权限。 GRANT DBA TO user; 必须 动态视图权限 检查用户对各种动态性能视图的访问权限，该权限用来获取数据库基础信息。 赋予DBA权限即可。 必须 schema对象数量检查 检查该用户是否有Schema对象需要评估。至少需要一个对象需要评估。 必须 DBA权限 检查用户是否有DBA（数据库管理员）的权限，才能进行后续操作。 非必须 若为“警告”，评估项目仍能创建成功，但可能由于权限不足导致部分对象无法采集。 目标数据库连接用户需要具有创建/删除/更改schema、表、程序、索引、用户、函数、视图等其他迁移对象的权限。 具体可查看权限检查报告。 用户需拥有创建UGO评估项目的对应权限。具体权限，可参见权限管理进行设置。

SQL审核 SQL审核功能能够帮助用户在开发阶段发现隐藏在代码中的SQL规范性、设计合理性和性能等问题，内置200多条审核规则，覆盖DML、DDL、PL/SQL等各类SQL的深度审核，且支持规则内风险级别、阈值及建议内容的调整，和规则间的自由组合创建定制化审核模板。支持GaussDB、MySQL两种数据库的审核，可通过单语句、批量代码文件上传（自动提取SQL）、直连数据库，共3种方式接入SQL进行审核，深度看护代码，避免烂SQL流入生产环境。 步骤一：创建数据源 步骤二：创建规则模板 步骤三：创建审核任务

支持审计的关键操作列表 表1 云审计 支持的中心网络操作列表 操作名称 资源类型 事件名称 创建中心网络 centralNetwork createCentralNetwork 更新中心网络 centralNetwork updateCentralNetwork 删除中心网络 centralNetwork deleteCentralNetwork 创建中心网络策略 centralNetworkPolicy createCentralNetworkPolicy 应用中心网络策略 centralNetworkPolicy applyCentralNetworkPolicy 删除中心网络策略 centralNetworkPolicy deleteCentralNetworkPolicy 创建中心网络全域接入网关附件 centralNetworkAttachment createCentralNetworkGdgwAttachment 更新中心网络全域接入网关附件 centralNetworkAttachment updateCentralNetworkGdgwAttachment 删除中心网络附件 centralNetworkAttachment deleteCentralNetworkAttachment 更新中心网络连接 centralNetworkConnection updateCentralNetworkConnection 创建中心网络标签 createCentralNetworkTags centralNetworkTags 删除中心网络标签 deleteCentralNetworkTags centralNetworkTags 表2 云审计支持的全域互联带宽操作列表 操作名称 资源类型 事件名称 创建全域互联带宽 globalConnectionBandwidth createGcBandwidth 更新全域互联带宽 globalConnectionBandwidth updateGcBandwidth 删除全域互联带宽 globalConnectionBandwidth deleteGcBandwidth 绑定实例 globalConnectionBandwidth bindGcBandwidth 解绑实例 globalConnectionBandwidth unbindGcBandwidth

支持审计的关键操作列表 表1 云审计支持的云连接实例操作列表 操作名称 资源类型 事件名称 创建云连接实例 cloudConnection createCloudConnection 更新云连接实例 cloudConnection updateCloudConnection 删除云连接实例 cloudConnection deleteCloudConnection 加载网络实例 networkInstance createNetworkInstance 更新网络实例 networkInstance updateNetworkInstance 删除网络实例 networkInstance deleteNetworkInstance 创建域间带宽 interRegionBandwidth createInterRegionBandwidth 更新域间带宽 interRegionBandwidth updateInterRegionBandwidth 删除域间带宽 interRegionBandwidth deleteInterRegionBandwidth 创建带宽包 bandwidthPackage createBandwidthPackage 更新带宽包 bandwidthPackage updateBandwidthPackage 删除带宽包 bandwidthPackage deleteBandwidthPackage 绑定带宽包 bandwidthPackage associateBandwidthPackage 解绑带宽包 bandwidthPackage disassociateBandwidthPackage 创建跨账号实例授权 authorisation createAuthorisation 更新跨账号实例授权 authorisation updateAuthorisation 删除跨账号实例授权 authorisation deleteAuthorisation

约束与限制 目前仅支持添加同一带宽区域类型下的实例。 一个全域互联带宽仅能添加一种实例类型，首次添加了实例类型后仅可添加该类型下的子实例，如需添加其他实例类型，请进行移出后重新添加。 全域弹性公网IP：支持批量添加和移出实例。 云连接中心网络：仅支持添加和移出一个实例。 将云连接中心网络添加至全域互联带宽，需先配置跨地域连接，详情请参见： 创建中心网络。 管理策略。 管理附件。 不同带宽类型的全域互联带宽可配合不同的实例使用，详情见表1。 表1 全域互联带宽添加实例说明 带宽类型 全域弹性公网IP 中心网络 城域带宽 √ × 大区带宽 √ √ 跨区带宽 √ √

操作步骤 进入购买全域互联带宽页面。 根据界面提示，配置全域互联带宽的基本信息，如表1所示。 表1 参数说明 参数名称 参数说明 计费模式 必选参数。 按需计费：后付费。按照全域互联带宽的使用时长计费。按秒计费，按小时结算，不足1小时以实际使用时长为准。 带宽类型 必选参数。 全域互联带宽根据连接范围大小，分为不同类型，包括城域带宽、大区带宽、跨区带宽，购买完成后不支持修改带宽类型。 请参考全域互联带宽使用场景，选择带宽类型。 云连接服务用户可根据业务场景选择大区带宽或跨区带宽。 当带宽类型选择大区带宽或跨区带宽时，您还需要选择互联大区/互通大区，并指定互通区域。 计费方式 必选参数。 全域互联带宽支持按带宽计费，不同带宽大小收费不同。 当带宽购买成功后，不管是否投入使用，立即开始计费。 当带宽停止使用时，请您及时删除，以免产生不必要的费用。 带宽大小 必选参数。 选择全域互联带宽的大小，单位为Mbit/s。 带宽名称 必选参数。 输入全域互联带宽的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 企业项目 必选参数。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 参数名称 参数说明 带宽类型 必选参数。 全域互联带宽根据连接范围大小，分为不同类型，包括城域带宽、大区带宽、跨区带宽，购买完成后不支持修改带宽类型。 云连接服务用户可根据业务场景选择大区带宽或跨区带宽。 当带宽类型选择大区带宽或跨区带宽时，您还需要选择互联大区/互通大区，并指定互通区域。 计费方式 必选参数。 全域互联带宽支持按带宽计费，不同带宽大小收费不同。 当带宽购买成功后，不管是否投入使用，立即开始计费。 当带宽停止使用时，请您及时删除，以免产生不必要的费用。 带宽大小 必选参数。 选择全域互联带宽的大小，单位为Mbit/s。 带宽名称 必选参数。 输入全域互联带宽的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 企业项目 必选参数。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 基本信息设置完成后，单击“下一步”。 在产品配置信息确认页面，再次核对全域互联带宽的信息，确认无误后，单击“提交订单”。 返回全域互联带宽列表页面。 在全域互联带宽列表页面，查看全域互联带宽状态。 当全域互联带宽状态为“正常”，表示购买成功。

跨区带宽使用场景（GEIP） 本示例中，以GEIP绑定至ECS为例： GEIP绑定的ECS所在区域为中国-香港，GEIP接入点为华东-杭州，中国-香港属于亚太大区，华东-杭州属于中国大陆大区 ，因此全域互联带宽应该选择跨区带宽。 本端大区：选择ECS所在大区，此处为亚太。 对端大区：选择GEIP接入点所在大区，此处为中国大陆。 本端必须选择GEIP绑定资源所在的大区，对端选择GEIP接入点所在的大区，请务必确保本端和对端大区选择正确。 图3 跨区带宽使用场景（GEIP）

大区/跨区带宽使用场景（中心网络） 本示例中，以云连接中接入ER为例： 连接ER1和ER2：ER1所在区域为华东-上海一，ER2所在区域为华南-广州，华东-上海一和华南-广州都属于中国大陆大区，因此连接ER1和ER2的全域互联带宽应该选择大区带宽。 连接ER1和ER3：ER1所在区域为华东-上海一，ER3所在区域为中国-香港，华东-上海一属于中国大陆大区，中国-香港属于亚太大区，因此连接ER1和ER3的全域互联带宽应该选择跨区带宽。 本端大区：选择ER1所在大区，此处为中国大陆。 对端大区：选择ER3所在大区，此处为亚太。 本端也可以选择ER3所在大区，对端选择ER1所在大区，本端和对端不做严格区分，只要确保两端的ER均已接入带宽中即可。 连接ER2和ER3：ER2所在区域为华南-广州，ER3所在区域为中国-香港，华南-广州属于中国大陆大区，中国-香港属于亚太大区，因此连接ER2和ER3的全域互联带宽应该选择跨区带宽。 本端大区：选择ER2所在大区，此处为中国大陆。 对端大区：选择ER3所在大区，此处为亚太。 图4 大区/跨区带宽使用场景（中心网络）

查看跨地域连接带宽监控指标 支持查看跨地域连接互通的企业路由器网络情况。 进入中心网络列表页面。 单击目标中心网络名称。 单击“跨地域连接带宽管理”页签，在“监控”列，查看监控信息。 中心网络可帮助用户在不同区域企业路由器之间、企业路由器与本地数据中心间搭建通信通道，实现同区域或跨区域网络互通。因此在使用云连接中心网络过程中，系统监控的是中心网络策略中企业路由器连接的监控指标。更多监控信息详见中心网络支持的监控指标。 企业路由器与全域接入网关互通时，仅支持查看企业路由器的监控指标。

添加附件 进入中心网络列表页面。 单击目标中心网络名称。 单击“附件管理”页签，然后单击“添加附件”。 根据界面提示，将全域接入网关等实例作为附件接入中心网络，详情请参见表1。 表1 添加附件参数说明 参数名称 参数说明 名称 输入附件的名称。 接入中心网络的特定区域 区域 附件接入中心网络的目标区域。 企业路由器 选择目标区域下的企业路由器实例，附件实例将接入该企业路由器。 您也可通过单击“新建企业路由器”创建新的实例。 接入中心网络的附件实例 附件类型 接入附件管理的网络实例类型。 当前仅支持“全域接入网关”。 全域接入网关：实现专线访问中心网络中的企业路由器的逻辑接入网关，一个全域接入网关可以关联多个区域的企业路由器。 区域 选择全域接入网关实例所在区域。 该区域可以与接入中心网络的目标区域不同。 全域接入网关 选择目标全域接入网关实例，目标区域的企业路由器将与该全域接入网关实例实现互通，从而实现云下IDC与云上网络互通。 您也可通过单击“新建全域接入网关”创建新的实例。 如果您需要添加更多附件，请单击参数下方的“添加附件”，继续配置相关参数。 单击“确定”。 在附件列表中可查看附件信息，如果“状态”为“可用”，表示附件添加成功。

创建中心网络 进入中心网络列表页面。 单击页面右上方的“创建中心网络”。 根据界面提示，填写中心网络的名称和描述，并为中心网络配置策略，具体请参见表1。 表1 创建中心网络-参数说明 参数名称 参数说明 中心网络名称 输入中心网络的名称。 描述 您可以根据需要在文本框中输入对该中心网络的描述信息。 策略 区域 策略用于记录您的配置信息，您需要选择为您的策略选定目标连通区域。 企业路由器 一个区域仅支持添加一个企业路由器，创建的企业路由器之间默认互联。 企业路由器之间互联赠送10kbit/s测试网络。 配置费用 连接费用，指在企业路由器中添加连接所产生的费用。中心网络的连接费用由按需计费的企业路由器个数决定。 单击“确定”，完成中心网络的创建。

中心网络配额限制 表1 中心网络配额说明 配额类型 限制 说明 一个账号的中心网络数 6 可以通过提交工单提高此限制。 一个中心网络的策略版本数 500 可以通过提交工单提高此限制。 中心网络策略文档大小（KB） 10 此限制不能提高。 一个中心网络单个区域的ER实例数 1 此限制不能提高。 一个地域只允许创建一个ER。 一个中心网络单个区域的全域接入网关（GDGW）附件数 3 可以通过提交工单提高此限制。

中心网络配置流程 中心网络配置流程如图3所示。 图3 中心网络配置流程 表2 中心网络配置流程说明 序号 步骤 说明 操作指导 1 创建中心网络 用户在完成企业路由器的创建后，创建中心网络并添加企业路由器至策略中，即可实现云上资源跨区域互通，并集中管理云上各区域的网络资源。 创建中心网络 2 添加附件（可选） 将全域接入网关作为附件接入中心网络特定区域的企业路由器，从而关联并打通不同地域的网络实例。 添加附件 3 配置跨地域连接带宽 通过创建中心网络和添加策略将多个不同区域的企业路由器或全域接入网关加入同一策略，创建出跨地域连接实例。购买全域互联带宽后为跨地域连接配置连接带宽实现跨地域互通。 配置跨地域连接带宽

中心网络使用限制 使用中心网络前需要先创建以下资源，否则将无法正常配置。 企业路由器：用于创建中心网络。 全域接入网关：用于添加附件管理。 策略管理： 同一中心网络仅支持关联一个策略，如需关联其他策略可直接应用要关联的策略，之前已关联的策略将自动取消关联。 同一策略中一个区域仅支持添加一个企业路由器，创建的企业路由器之间默认互联。 当策略实例处于应用中或取消中，不能执行删除操作。 跨区域连接带宽管理： 当跨区域连接实例处于创建中、更新中、删除中、冻结中、解冻中或恢复中的过程状态时，不能执行修改连接带宽和删除连接带宽操作。 配置的跨区域连接带宽大小不可超过购买的全域互联带宽的最大带宽。 删除连接带宽后，未删除的全域互联带宽仍会继续收费。

中心网络应用场景 云上不同区域互通：云上不同区域的企业路由器通过接入中心网络实现跨区域互通。 图1 企业路由器跨区域互通 云下用户数据中心与云上不同区域互通：通过企业路由器结合云专线的全域接入网关能力，实现VPC与用户本地数据中心网络互通，然后将两个及以上企业路由器接入云连接的中心网络中，构成ER对等连接，则可以实现云上跨区域多个VPC和云下IDC的网络互通。 图2 企业路由器与云下数据中心互通 通过灵活更换企业路由器的互通策略，更便捷地组建用户的全球网络。

中心网络自定义策略样例 示例1：授权用户删除云连接中心网络 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:centralNetwork:delete" ] } ] } 示例2：拒绝用户删除中心网络策略 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CC FullAccess的系统策略，但不希望用户拥有CC FullAccess中定义的删除中心网络策略权限，您可以创建一条拒绝删除中心网络策略的自定义策略，然后同时将CC FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云连接执行除了删除中心网络策略外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cc:centralNetwork:deletePolicy" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:centralNetwork:create", "cc:centralNetwork:update", "cc:centralNetwork:delete", "cc:centralNetwork:get" ] }, { "Effect": "Allow", "Action": [ "er:instances:create", "er:instances:update", "er:instances:delete", "er:instances:get" ] } ] }

示例流程 图1 给用户授予云连接权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予云连接服务权限“Cross Connect Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络 ＞ 云连接”，然后在左侧导航栏选择“云连接 ＞ 中心网络”，进入中心网络页面，单击右上角“创建中心网络”，尝试创建云连接中心网络，如果创建成功，表示“Cross Connect Administrator”已生效。 在“服务列表”中选择除云连接服务外（假设当前权限仅包含Cross Connect Administrator）的任一服务，如果提示权限不足，表示“Cross Connect Administrator”已生效。

示例2：授权子账号使用所有企业项目中的云连接服务 根据业务需要，子账号需要使用所有企业项目中云连接服务的云连接实例、网络实例、带宽包、域间带宽和路由信息等功能，可参考如下步骤进行配置。 如需使用跨账号、跨境申请功能，请参见示例1：非企业项目的子账号使用云连接全部功能。 登录管理控制台。 在系统首页，鼠标移至右上角用户名，选择下拉菜单中的“ 统一身份认证 ”。 图10 统一身份认证 在页面左侧目录中，选择“用户组”。 在用户组页面，单击右上角“创建用户组”。 图11 创建用户组 根据界面提示配置相关参数，单击“确定”。 图12 配置用户组参数 单击用户组名称，进入已创建成功的用户组。 在页面右侧选择“IAM项目视图”，单击“授权”。 图13 用户组授权 在授权页面右侧搜索框中输入“CC FullAccess”并搜索。 在搜索结果中，勾选系统角色“CC FullAccess”，单击“下一步”。 图14 选择系统策略 单击“展开其他方案”。 图15 选择授权范围方案 选择“全局服务资源”，单击“确定”。 图16 设置最小授权范围 返回用户组列表，在已授权的用户组所在行的操作列，单击“用户组管理”。 图17 用户组管理 根据界面提示勾选目标用户加入当前用户组，单击“确定”。 如果当前子账号不包含VPC资源相关权限，可以为用户组再配置一个“CC Network Depend QueryAccess”权限，最小授权范围请选择“所有资源”。 可以在用户组授权记录中查看相关授权信息。 图18 授权记录

示例3：授权子账号使用指定企业项目的云连接服务 根据业务需要，子账号需要使用指定企业项目中云连接服务的云连接实例、网络实例、带宽包、域间带宽和路由信息等功能，可参考如下步骤进行配置。 如需使用跨账号、跨境申请功能，请参见示例1：非企业项目的子账号使用云连接全部功能。 登录管理控制台。 在系统首页，鼠标移至右上角用户名，选择下拉菜单中的“统一身份认证”。 图19 统一身份认证 在页面左侧目录中，选择“用户组”。 在用户组页面，单击右上角“创建用户组”。 图20 创建用户组 根据界面提示配置相关参数，单击“确定”。 图21 配置用户组参数 单击用户组名称，进入已创建成功的用户组。 在页面右侧选择“IAM项目视图”，单击“授权”。 图22 用户组授权 在授权页面右侧搜索框中输入“CC FullAccess”并搜索。 在搜索结果中，勾选系统角色“CC FullAccess”，单击“下一步”。 图23 选择系统策略 单击“展开其他方案”。 图24 选择授权范围方案 选择“指定企业项目资源”。 根据界面提示勾选指定企业项目，单击“确定”。 图25 设置最小授权范围 等待授权完成后，在页面左侧目录中，选择“权限管理 ＞ 权限”。 图26 权限 在权限页面，单击“创建自定义策略”。 图27 创建自定义策略 根据表1配置自定义策略相关参数。 表1 配置自定义策略 参数 说明 策略名称 自定义策略的名称。 策略配置方式 可视化视图（推荐） JSON视图 策略内容 勾选“允许” 云服务：云连接 操作： 只读：勾选“cc:networkInstances:get”、“cc:interRegionBandwidths:get”、“cc:cloudConnectionRoutes:get” 写：勾选 “cc:networkInstances:create” “cc:interRegionBandwidths:update” “cc:networkInstances:delete” “cc:interRegionBandwidths:create” “cc:interRegionBandwidths:delete” “cc:networkInstances:update” 列表：勾选 “cc:cloudConnectionRoutes:list” “cc:networkInstances:list” “cc:interRegionBandwidths:list” 单击“确定”。 重复步骤3到步骤7。 根据名称搜索已创建的自定义策略。 勾选自定义策略，单击“下一步”。 单击“展开其他方案”。 选择“全局服务资源”，单击“确定”。 如果当前子账号不包含VPC资源相关权限，可以为用户组再配置一个“CC Network Depend QueryAccess”权限，最小授权范围请选择“所有资源”。 可以在用户组授权记录中查看相关授权信息。 图28 IAM项目视图授权记录 图29 企业项目视图授权记录

示例1：非企业项目的子账号使用云连接全部功能 根据业务需要，非企业项目子账号希望使用云连接服务的全部功能，包括云连接、网络实例、带宽包、域间带宽、路由信息、跨账号和跨境申请等。 具体配置如下： 登录管理控制台。 在系统首页，鼠标移至右上角用户名，选择下拉菜单中的“统一身份认证”。 图1 统一身份认证 在页面左侧目录中，选择“用户组”。 在用户组页面，单击右上角“创建用户组”。 图2 创建用户组 根据界面提示配置相关参数，单击“确定”。 图3 配置用户组参数 单击用户组名称，进入已创建成功的用户组。 在页面右侧选择“IAM项目视图”，单击“授权”。 图4 用户组授权 在授权页面右侧搜索框中输入“Cross Connect Administrator”并搜索。 在搜索结果中，勾选系统角色“Cross Connect Administrator”，单击“下一步”。 图5 选择系统角色 单击“展开其他方案”。 图6 选择授权范围方案 选择“全局服务资源”，单击“确定”。 图7 设置最小授权范围 授权后需等待大约15~30分钟，之后授权生效，页面提示“授权成功”，则表示已完成用户组授权。 图8 授权成功 返回用户组列表，在已授权的用户组所在行的操作列，单击“用户组管理”。 图9 用户组管理 根据界面提示勾选目标用户加入当前用户组，单击“确定”。

云连接自定义策略样例 示例1：授权用户删除云连接 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:cloudConnections:delete" ] } ] } 示例2：拒绝用户删除带宽包 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CC FullAccess的系统策略，但不希望用户拥有CC FullAccess中定义的删除带宽包权限，您可以创建一条拒绝删除带宽包的自定义策略，然后同时将CC FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云连接执行除了删除带宽包外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cc:bandwidthPackages:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:bandwidthPackages:create", "cc:cloudConnections:create", "cc:bandwidthPackages:delete", "cc:cloudConnections:delete" ] }, { "Effect": "Allow", "Action": [ "eps:enterpriseProjects:enable", "eps:enterpriseProjects:update", "eps:enterpriseProjects:create", "eps:enterpriseProjects:delete" ] } ] }

示例流程 图1 给用户授予云连接权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予云连接服务权限“Cross Connect Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络 ＞ 云连接”，进入云连接的页面，单击右上角“创建云连接”，尝试创建云连接实例，如果创建成功，表示“Cross Connect Administrator”已生效。 在“服务列表”中选择除云连接服务外（假设当前权限仅包含Cross Connect Administrator）的任一服务，如果提示权限不足，表示“Cross Connect Administrator”已生效。

监控指标 表1 企业路由器连接支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） attachment_bytes_in 入方向流量 该指标用于统计企业路由器连接入方向的网络流量。 单位：字节 ≥ 0 企业路由器连接 1分钟 attachment_bytes_out 出方向流量 该指标用于统计企业路由器连接出方向的网络流量。 单位：字节 ≥ 0 企业路由器连接 1分钟 attachment_bits_rate_in 入方向带宽 该指标用于统计企业路由器连接入方向，每秒接收的比特数。 单位：比特/秒 ≥ 0 企业路由器连接 1分钟 attachment_bits_rate_out 出方向带宽 指标用于统计企业路由器连接出方向，每秒发送的比特数。 单位：比特/秒 ≥ 0 企业路由器连接 1分钟 attachment_packets_in 入方向PPS 该指标用于统计企业路由器连接入方向，每秒接收的数据包数。 单位：包/秒 ≥ 0 企业路由器连接 1分钟 attachment_packets_out 出方向PPS 该指标用于统计企业路由器连接出方向，每秒发送的数据包数。 单位：包/秒 ≥ 0 企业路由器连接 1分钟 attachment_packets_drop_blackhole 黑洞路由丢弃包数量 该指标用于统计企业路由器连接中，由于黑洞路由导致的丢包数量。 单位：个 ≥ 0 企业路由器连接 1分钟 attachment_packets_drop_noroute 无匹配路由丢弃包数量 该指标用于统计企业路由器连接中，由于路由无法匹配导致的丢包数量。 单位：个 ≥ 0 企业路由器连接 1分钟

功能说明 中心网络可帮助用户在不同区域企业路由器之间、企业路由器与本地数据中心间搭建通信通道，实现同区域或跨区域网络互通。因此在使用云连接中心网络过程中，系统监控的是中心网络策略中企业路由器连接的监控指标。 本节定义了通过中心网络策略中企业路由器上报 云监控服务 的监控指标的命名空间，监控指标列表和维度定义，用户可以通过 云监控 服务提供的管理控制台检索中心网络策略中企业路由器连接产生的监控指标和告警信息。

监控指标 表1 云连接实例支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 network_incoming_bits_rate 网络流入带宽 云连接实例域间入站数据的比特率。 单位：比特/秒 ≥ 0 bits/s 域间带宽 5分钟 network_outgoing_bits_rate 网络流出带宽 云连接实例域间出站数据的比特率。 单位：比特/秒 ≥ 0 bits/s 域间带宽 5分钟 network_incoming_bytes 网络流入流量 云连接实例域间入站数据的字节数。 单位：字节 ≥ 0 bytes 域间带宽 5分钟 network_outgoing_bytes 网络流出流量 云连接实例域间出站数据的字节数。 单位：字节 ≥ 0 bytes 域间带宽 5分钟 network_incoming_packets_rate 网络流入包速率 云连接实例域间入站数据包速率。 单位：包/秒 ≥ 0 packets/s 域间带宽 5分钟 network_outgoing_packets_rate 网络流出包速率 云连接实例域间出站数据包速率。 单位：包/秒 ≥ 0 packets/s 域间带宽 5分钟 network_incoming_packets 网络流入包量 云连接实例域间入站数据包数。 单位：包 ≥ 0 packets 域间带宽 5分钟 network_outgoing_packets 网络流出包量 云连接实例域间出站数据包数。 单位：包 ≥ 0 packets 域间带宽 5分钟 network_bandwidth_usage 网络带宽使用率 云连接实例域间带宽数据使用率。 单位：百分比 0-100% 域间带宽 5分钟

维度 Key Value cloud_connect_id 云连接ID bwp_id 带宽包ID region_bandwidth_id 域间带宽ID 对于有多个测量维度的测量对象，使用接口查询监控指标时，所有测量维度均为必选。 查询单个监控指标时，多维度dim使用样例： dim.0=cloud_connect_id%2Ca92ab2f75d844dbebbc3fcc7871d1136&dim.1=bwp_id%2C625db750db7b1447d0c9d1a447c11903&dim.2=region_bandwidth_id%2Ce2cc9dc0b4954fbbaf1299f2727fe1ca。 批量查询监控指标时，多维度dim使用样例： "dimensions": [ { "name": "cloud_connect_id", "value": "a92ab2f75d844dbebbc3fcc7871d1136" }, { "name": "bwp_id", "value": "625db750db7b1447d0c9d1a447c11903" }, { "name": "region_bandwidth_id", "value": "e2cc9dc0b4954fbbaf1299f2727fe1ca" } ],